2018政企机构数据泄露形势分析报告.pdf

2018 政企机构 数据泄露 形势 分析 报告 （ 2019.1） 主要观点 数据泄露已经成为安全问题的风险源头 ， 数据泄露事件逐年增多、危害范围不断增大 。 网络攻击 、 内鬼窃取、 内部人员 操作 失误， 已经成为 当前政企 机构数据泄露的三大 主要原因。 由于网站 漏洞、 弱口令等 问题 的存在 ，导致 黑客 使用 社工或 技术 手段 攻 破 企业的安全技术 防线窃取 数据 。 在高额利益 的趋势下， 越来越 多的 内部 人员 利用职务之便非法获取 公司数据 进行贩卖 由于 内部人员缺乏安全和风险评估能力， 导致 一些 无意识 的错误操作 引发公司 数据泄露。 信息 安全的投入与需要被保护目标的商业价值 和 社会 价值 严重 不匹配 ， 是一个 全球性 网络 安全问题，也是造成大量数据信息泄露的根本原因。 信息 系统的建设、运维和管理人员 网络安全 意识 薄弱，安全 认知 水平 和 风险评估 能力均 严重 落后于信息网络技术及其应用的爆发式增长。 数据泄露 事件 造成的影响 ， 已经 逐渐超出了网络安全 问题 本身， 越来越多 的数据泄露 事件 与 政治、 经济 、道德等 因素 交织在一起， 折射出 更多的 社会 问题，引起 了 社会更 加广泛 的关注与热议 。 摘 要 网站漏洞泄露数据风险 分析 2018 年 1-10 月，补天平台共收录可导致百万条以上数据泄露的网站漏洞 280 个，约占补天平台全年漏洞收录总数（ 18200 个 ） 的 1.5%，涉及 网站 129 个，共可造成 86.5 亿条数据泄露。 2018 年 可 造成 数据 泄露 的 这 280 个网站漏洞，较 2017 年（ 251 个）上升 了 11.6%，且全部为高危漏洞。 2018 年 的 280 个可导致数据泄露的网站漏洞， 总计可能泄露信息 为 86.5 亿条，比 2017年的 51.1 亿条上升了 69.2%；比 2016 年的 60.5 亿条上升了 43.0%；比 2015 年的 55.3亿条上升了 56.4%。网站漏洞 导致数据泄露的规模正在逐年增加 。 2018 年 ， 平均每个漏洞可导致 3089.2 万条个人数据泄露，单个漏洞的 危害大大增加。 从可导致 数据 泄露的网站漏洞技术类型来看， 2018 年可能数据数据的网站漏洞中，命令执行（占比为 81.1%）、代码执行（ 7.9%）和弱口令（ 7.1%）占比最高，三者之和占全部数据泄露漏洞的 96.1%。 2018 年 1 至 10 月，补天平台收录的可导致数据泄露的 280 个网站漏洞中，共 涉及到86.5 亿 条数据泄露 。 其中， 1 月份曝出的可能泄露数据的 漏洞 个数 最多， 为 60 个 网站漏洞 ； 10 月份曝出的可能泄露的数据规模达到最高峰，为 14.0 亿条信息。 在 280 个 可导致数据泄露的 网站 漏洞中 ，共有 30 个 网站 漏洞 可泄露 的数据规模在 5000万 条以上 ， 其中还有 11 个漏洞可泄露 的数据 规模 在 1 亿 条以上 。 应急响应处置 的 数据泄露事件 2018 年 1-11 月， 360 安服团队共为全国各地多家大中型政企机构，提供了网络安全应急响应服务，参与和协助处置各类网络安全应急响应事件 717 次。其中，涉及到 数据泄露事件共 130 起，占应急响应处置事件总数的 18.1%。 在涉及到数据泄露的政企机构中，政府部门是应急响应处置的数据泄露事件最多的行业，为 25 次，其次是事业单位，为 10 次；制造业，为 6 次。 95.5%的 数据泄露 事件是企业自行发现的， 但是 ，仍有 4.5%的数据泄露事件 ，企业实际上是不自知的，他们是在得到了监管机构的通报或看到了媒体的公开报道后，才得知企业的内部 数据已经被 泄露 的 。 进 一步 对 企业发现 的网络攻击进行分析， 54%的网络攻击 事件 是由于服务器病毒 进行了告警； 11.5%是由于 PC 病毒 告警 ； 6.2%是由于 webshell 告警； 4.4%是由于网页被篡改。 从大中型政企 机构 数据泄露 事件 中 的 失陷 区域来看， 27.0%为 内部服务器、数据库 ； 23.6%为网站 ； 18.0%为业务 专网 ； 16.9%为办公 终端 ， 12.4%为业务 系统。 在 360 安服 团队 2018 年参与处置 的 130 起数据泄露 事件中， 弱口令 问题最为显著 ， 约有 52.2%的数据泄露事件是由于弱口令 问题导致 的。 其次 ， 25.7%的 事件与未及时 修复漏洞有关 ， 包括： 17.7%的服务器 漏洞、 6.2%的 Web 漏洞 、 1.8%设备 漏洞。 全球政企 机构 数据泄露分析 2018 年，全球政企 机构均 发生了 大量 的重大 数据泄露事件 ，本报告 通过 对 国内外媒体公开 报道的事件 进行了整理 ， 共 抽样收集 了 206 起重大 数据泄露事件。 2018 年，全球政企 机构重大 数据泄漏事件中 ， 13.1%为 生活服务 行业， 12.1%为 IT 信息技术， 11.7%为 互联网行业。 从 2018 年政企机构重大数据泄露 事件泄露数据的原因来看， 约一半 的事件是由于外部攻击导致的 ； 但是也有 16%的 事件 是由于内部人员违规 操作， 主动 泄露的数据， 10.2%的事件 是由于合作伙伴泄露。 从 2018 年全球 重大数据泄露事件泄露数据的 主要类型 来看， 59.2%的 事件 泄露的是实名信息 ； 13.1%的 事件 泄露的是账号密码； 7.8%的事件泄露的是保单信息 。 206 起全球 重大 数据泄露 事件中， 约 74%的事件我们 大概标记出了 数据泄露的 规模。这153 起 事件，泄露 了 约 13 亿 条信息。 从 2018 年全球 重大数据泄露事件 泄露 的数据规模分布来看， 47.1%的事件泄露的数据规模在 100 万 条以上 。值 的注意的是 ， 7.1%的事件泄露规模 在 1 亿 条以上。 暗网上非法数据的交易 情况 本文收集 的 1000 条 数据 交易中 ， 分别 是 由 368 个人发布 的 ， 约 为 每个人发布三条信息。具体来看 ， 发布信息在 5 条以下 的人数占 88.8%， 发布 信息在 5-10 条的 人数占 6.3%，发布信息在 50 条 以上仅有 1 人， 占比为 0.3%。 从暗网 上 数据 交易所涉及的行业来看，金融行业占比为 23.1%；互联网行业占比为 16.3%；生活服务行业占比为 6.1%。还有 一部分并未明显 说明的 行业属性， 遂归属 于个人信息 。个人 数据 占比为 8.5%。 从暗网 上 数据 交易的类型来看， 实名 信息是 被 贩卖 最多 的 一类 信息 ， 占比为 45.2%，其次为 账号 密码、数据库 、用户信息 、 电话 号码 、行为 记录等。 从暗网 上 数据 交易的规模来 看 ， 10 万 条以上的数据 占到 了 46.0%； 10 万 至 100 万 条的数据 占到了 23.4%； 100 万 至 500 万 条的数据占到了 11.0%； 1 亿 条以上的数据，占比为 5.8%。 信息购买者购买数据的一般用途：精准营销 、精准 诈骗 、 在其他 渠道贩卖 。 关键词： 补天平台、网站漏洞、 应急 响应、 数据 泄露 目 录 研究背景 . 1 第一章 网站漏洞泄露数据风险分析 . 2 一、 可泄露数据的网络漏洞数量 . 2 二、 网站漏洞可泄露的数据规模 . 4 第二章 应急响应处置的数据泄露事件 . 5 一、 数据泄露事件的应急次数 . 5 二、 数据泄露事件的行业分布 . 5 三、 数据泄露事件的发现方式 . 6 四、 数据泄露事件的失陷区域 . 7 五、 数据泄露事件的自身弱点 . 7 第三章 全球政企机构数据泄露分析 . 9 一、 全球数据泄露事件的行业 . 9 二、 全球数据泄露的原因 . 9 三、 数据泄露的类型 . 10 四、 数据泄露的规模 . 11 第四章 暗网上非法数据的交易情况 . 12 一、 活跃的数据发布者 . 12 二、 数据交易所涉及的行业 . 13 三、 数据交易的类型及规模 . 13 四、 获取数据后的一般用途 . 14 第五章 政企机构数据泄露的原因 . 16 一、 弱口令是黑客攻击成功的关键因素 . 16 二、 内鬼威胁成为数据泄露的重要源头 . 16 三、 配置错误或操作不当事件频繁发生 . 16 四、 安全投入与保护 目标的价值不匹配 . 16 第六章 政企机构数据泄露的趋势 . 18 一、 数据泄露的数量和规模正在大幅度上升 . 18 二、 对重要数据 进行定向化攻击并实施勒索 . 18 三、 外部力量督促企业加强安全建设 . 18 四、 数据泄露事件折射更多社会问题 . 18 五、 数字化转型的企 业将面临更大的数据泄露风险 . 19 第七章 防范数据泄露的建议 . 20 一、 使用强密码并定期修改 . 20 二、 加强网络安全意识 . 20 三、 数据进行分类管理 . 20 附录 1 国内机构重大数据泄露事件分析 . 21 一、 内部威胁 . 21 二、 外部威胁 . 22 附录 2 国外机构重大数据泄露事件分析 . 24 三、 IT信息企业 . 24 四、 政府机构 . 26 五、 电信运营商 . 28 六、 互联网 . 31 七、 交通物流 . 34 八、 教育 . 37 九、 金融 . 39 十、 军事 . 43 十一、 生活服务 . 44 十二、 医疗卫生 . 49 十三、 制造业 . 52 十四、 物联网 . 53 十五、 其他 . 54 附录 3 暗网上重大数据交易事件 . 58 一、 军政及事业单位在暗网的重大数据交易事件 . 58 一、 IT互联网企业在暗网的重大信息交易事件 . 59 二、 出行、 酒店及餐饮行业在暗网的重大信息交易事件 . 60 三、 快递行业在暗网的重大数据交易事件 . 61 四、 医疗卫生机构在暗网的重大数据交易事件 . 62 五、 金融行业重大数据泄露事件交易事件 . 62 附录 4 360 威胁情报中心 . 63 附录 5 补天漏洞响应平台 . 63 附录 6 360 安服团队 . 64 附录 7 360 安全监测与响应中心 . 64 附录 8 360 行业安全研究中心介绍 . 65 1 研究背景 自 2013 年斯诺登事件以来，全球 数据 泄露规模连年加剧。根据 Gemalto 发布的数据泄露水平指数 （ BreachLevelIndex） 显示 ，仅 2018 年上半年，全球就发生了 945 起较大型的数据泄露事件，共计导致 45 亿条数据泄露，与 2017 年相比数量增加了 133%。 数据 泄露 已经成为 ： 安全问题的风险源头 、 当前 网络安全 的最主要 威胁 和 政企机构面临的重要安全风险之一 ， 数据泄露事件逐年增多、危害范围不断增大。 造成 政企 机构 数据 泄露的 原因 主要 有两类，一 是 外部攻击 、 二 是 内部威胁 ， 内部威胁 主要 是指 内鬼窃取 和 内部人员 误操作。 而 从 机构泄露 的信息 类型 来看，主要也分为两类，个人信息和 机密 数据 ， 后者 是 指 政企 机构内部 除个人信息之外的商业机密 、技术 机密及 其他 机密信息 。 在大数据产业迅猛发展的浪潮中，我国个人信息安全和隐私保护面临着严峻形势。个人信息作为数据信息的核心内容，面临着采集、存储、加工、各环节的 使用 规范化问题，与个人隐私息息相关。目前 ， 一些行业个人 数据泄露 事件频发，不法分子 甚至 还会 利用 已经 泄露的海量 数据 进行 关联分析， 甚至做出 客户 画像 ，实施 精准 营销 和诈骗 。 其他类型 的 数据 泄露 事件也十分让人担忧。例如 ， 谷歌 Firebase 平台 2271 个数据库可公开访问，这些数据库中包括了 1 亿多条敏感 数据 ， 约为 113GB； Google+出现 API 漏洞，在 11 月的 6 天时间里， 5250 万用户的姓名、电子邮箱、职业和年龄以及其他详细信息被访问 。 为加强数据泄露管理、切实维护 企业利益 、及时制止数据泄露 的损害扩大。本报告 将 从网站 漏洞 的 数据 泄露 风险 ， 360 安服应急响应处置的 数据 泄露事件 ， 全球 重大 数据 泄露事件以及 暗网 上 的 数据 交易事件这 四 个方面 ， 来系统性 的分析政企机构 数据 泄露 的风险及形势。 2 第一章 网站漏洞泄露 数据 风险 分析 网站漏洞是当前 的网络安全 威胁之一，已对 政企机构 造成 诸多 危害 ， 比如 ：数据库 数据泄露 、网页篡改、网页被挂马、 服务器 被恶意操作 等 。 由于 网站存在安全漏洞 所 导致 得出的数据 泄露 ， 既是 政企 机构 数据 泄露的 原因之一 ，也是 数据 安全 的主要挑战之一 。 本章 将 以补天平台 2018 年 1 月至 10 月 ， 收录的可导致 数据 泄露的漏洞为基础，对 2018年网站 漏洞泄露数据 的严峻形势进行 简单 分析 。 一、 可 泄露 数据 的 网络 漏洞 数量 2018 年 1-10 月，补天平台共收录可导致百万条以上 数据 泄露的网站漏洞 280 个，约占补天平台全年漏洞收录总数（ 18200 个 ） 的 1.5%，涉及 网站 129 个，共可造成 86.5 亿条 数据 泄露。 2018 年 可 造成 数据 泄露 的 这 280 个网站漏洞，较 2017 年 （ 251 个） 上升 了 11.6%，且全部为高危漏洞。 从 2015 年至 2018 年网站 漏洞可 导致 数据 泄露的 规模 对比 来看 ， 2018 年 的 280 个可导致 数据 泄露的网站漏洞， 总计可能泄露信息 为 86.5亿条，比 2017年的 51.1亿条上升了 69.2%；比 2016 年的 60.5 亿条上升了 43.0%；比 2015 年的 55.3 亿条上升了 56.4%。 网站漏洞 导致数据泄露的规模正在逐年增加 。 2018 年 ， 平均每个漏洞可导致 3089.2 万条个人 数据泄露 ，单个漏洞的 危害大大增加。 3 从 可导致 数据 泄露 的 网站 漏洞技术类型 来 看， 2018 年可能泄露 数据 的 网站 漏洞中，命令执行占比最高， 为 81.1%。主要是 因为 命令执行漏洞相比其他类型漏洞，产生的危害更高，白帽子为了不断提高自我的技术，所以更偏好 “ 命令执行漏洞 ” 。 其次为 代码执行和弱口令 ，占比分别为 7.9%和 7.1%。 命令执行漏洞：当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如 PHP 中的 system， exec， shell_exec 等，当用户可以控制命令执行函数中的参数时，将可注入恶意系统命令到正常命令中，造成命令执行攻击。 简单来说， 是指 代码调用系统命令的时候，过滤 不严格 ， 从而导致攻击者可以执行任意系统命令 。 利用条件 ： 1） 应用调用执行系统命令的函数 ； 2） 将用户输入作为系统命令的参数拼接到了命令行中 ； 3） 没有对用户输入进行过滤或过滤不严 。